パスワードを忘れた? アカウント作成
11174 story

Cisco IOSにバッファオーバーフロー脆弱性、深刻度はCritical 36

ストーリー by Acanthopanax
パッチ適用 部門より

あるAnonymous Coward曰く、"MYCOM PCWEBの記事より。Cisco Systemsのルーターに使用されているソフトウェアのCisco IOSに、ヒープ領域のメモリに対するバッファオーバーフロー脆弱性が発見された。当該脆弱性を突くことで、システムタイマープロセスにリモート/ローカル双方から任意のコマンドを実行させることが可能となる。対象となるのはCisco IOS 12.0/12.1/12.2/12.3/12.4。対応方法はCisco社の修正パッチの適用。French Security Incident Response Teamの評価は、最も深刻である「Critical」となっている。"

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
    • Re:これか? (スコア:4, 参考になる)

      by Technical Type (3408) on 2005年11月05日 2時03分 (#826154)
      日本語情報 [cisco.com]もあります。JVN [jvn.jp]にも乗っています。パッチを当てる以外に対策無し。

      話は変わりますが、最近のではApple QuickTime Integer Overflow and Denial of Service Vulnerabilities [frsirt.com]もヤバそうな気がしますけどね。IT Pro [nikkeibp.co.jp]からも記事が出ています。

      親コメント
      • Re:これか? (スコア:2, 参考になる)

        by nac (1256) on 2005年11月05日 2時46分 (#826175) ホームページ
        Ciscoの場合、パッチというよりリリースアップ適用なんだよねぇ・・・。

        ACLやコマンドで対応できるならいいんだけど、この手のIOS入れ替え系はつらい。なんとかならんかなぁ。
        親コメント
        • by fukapon (4131) on 2005年11月05日 21時56分 (#826640)
          Ciscoを入れた時点で覚悟しておくべきことかと。まさかCiscoクォリティが高いものとは思っていないでしょう?

          感覚的な話ではありますが、Ciscoのソフトはテストが甘すぎるよーな。以前も「おひおひ、それはテスト項目になかったのか?」と言ってやりたいヤツがありましたな。
          親コメント
          • Re:これか? (スコア:1, 参考になる)

            by Anonymous Coward on 2005年11月06日 7時28分 (#826858)
            けど、明らかなバグに対して「しっかりテストするから」という理由でリリースを先送りされるのもつらいです。
            こっちはこっちで客から「まだですかーーっ!」と怒られるわけですから。

            痛し痒しです。
            親コメント
            • by fukapon (4131) on 2005年11月06日 18時06分 (#827079)
              同意見です。挙動から見て明らかなバグを含むまま出荷するような奴らが、しっかりテストするわけないのです。大嘘も大概にしろよと。「おまえら、恥ずかしくないのか? そんな理由でごまかそうってのは」と思いますね、はい。

              何もバグがあっちゃいけないと言うつもりはありませんが。ソースコードが数行を超えれば、ソフトにバグは潜むものです。しかし、それはそういうものだとテストもろくにせず言われては...。
              親コメント
  • by t_mrc-ct (5292) on 2005年11月05日 0時48分 (#826123) 日記
    善意で開発元に通報した人が、修正されるまでの期間を待ちきれなくて、善意のつもりで脆弱性の存在を公表して結果的に犯罪者になっていくのは、通報者はもちろん、開発元にとっても、ユーザにとっても不幸な事だと思う。

    開発元が迅速に対応するのが一番重要なことなんだけど、
    修正に時間がかかる場合には修正状況を通報者に伝えたりして、通報者の不安を和らげることで公表を思いとどまらせる、
    みたいな事って出来ないのかなぁ。
    • by Anonymous Coward on 2005年11月05日 3時12分 (#826180)
      通報した人が犯罪者になるのは、待ちきれなくて公表するからではなくて、
      法に触れる行為を伴うやり方で公表するからですよね。

      ところで、ISS、Ciscoと和解してFBIには「捜査」されてるという話までは
      辿れたのだけれど、結局このLynnさんは何かの犯罪者になったのかしら?
      親コメント
      • by Anonymous Coward on 2005年11月05日 3時49分 (#826183)
        >法に触れる行為を伴うやり方で公表するからですよね。
        全く違うでしょ。
        悪用したら法に触れる行為が出来る事を検証するには、
        多かれ少なかれ危ない橋を渡らずには脆弱性の調査が出来ない。
        悪用する奴は躊躇い無くやるが、研究者はそれを報告するわけだ。
        脆弱性報告をもみ消せば、脆弱性が無くなると勘違いしている企業は、
        その報告の内容自体が、法に触れる事をやっていると強弁してるだけ。

        法に触れる行為を行う奴が、その脆弱性をついた時に考えられる
        最悪の事態の解決にあたろうって判断が先に出来ない企業体質。
        親コメント
        • 悪用したら法に触れる行為が出来る事を検証するには、 多かれ少なかれ危ない橋を渡らずには脆弱性の調査が出来ない。
          それ、大間違いなので嘘を書かないように。全く法に触れずに「出来る事を検証」できるタイプの脆弱性もある。

          「多かれ少なかれ危ない橋を渡らざるを得ない」のは、情報の公表の方でしょう。業務妨害系の罪として訴えられるとか。だけどそれはあらゆる表現行為につき物のリスク。名誉毀損とかと同列。

          • ソースコードが全て公開されているシステムじゃないと、『全く法に触れずに「出来る事を検証」』は無理なのではないでしょうか。
            親コメント
          • …オタの話が何故一般人に理解されようともしないのか判った気がする。
            全く法に触れずに「出来る事を検証」できるタイプの脆弱性もある。
            モノにも拠るが一般論として論じている部分に「~もある」を持ち出さないように。こういう例外があるから元議論はまとめて偽である、とやるといつまでたっても話が進まない。

            別ストーリーで「~はカス、~は最強」という罵りながらの評価よりも「~も良いが~はもっと良い」という落ち着いた語り口の方が説得力がある、という書き込みがあったが、この指摘は何気にヲタコミュニティの何がもっとも駄目なのかを如実に浮き彫りにしている気がする。要は自分のユタカスギル知識を正当化するために周りを無意識/意図的に黙殺するからなんだろうな。

            #頭がいいのも自信を持ってるのも判ったよ。それを話していい状況なのかどうかを判断してくれ。

            ##自分もオフトピなのでAC

    • >修正されるまでの期間を待ちきれなくて

      待ちきれないのはなぜですか?
      あなたが公表することで防げる被害と広がる被害を考えたら、
      被害が防げるなんて思うのは傲慢そのものでしかないですよ。
      • by Anonymous Coward on 2005年11月05日 15時46分 (#826416)
        ベンダー抜きでもユーザ側ができる対策がある場合であったり、
        一般的に行われうる攻撃手法に対して脆弱であるとか、
        既に攻撃手法が公開されている場合であるとか、
        自分以外にも脆弱性情報を知る者があることが分かっていて
        彼が情報を公開しようとしていると知っていて且つ
        自分の方が安全に情報公開できるとわかる場合であったり、
        脆弱性発見者が公表することで防げる被害が大きいことも
        なくはないのでは?

        隠せば隠し通せるというのもまた傲慢ですよ。
        親コメント
        • 極めて限定的な例外をあげられてもねぇ。
          具体的な事例でもあげてみますか?

          >隠せば隠し通せるというのも

          誰もそんな話をしていないのに、そういう話に摩り替えたいのは、
          そうでないとなにか都合が悪いのですか?
          • > 極めて限定的な例外をあげられてもねぇ。

            限定されるとまずい事でも有るんですか?

            > 誰もそんな話をしていないのに、そういう話に摩り替えたいのは、
            > そうでないとなにか都合が悪いのですか?

            元コメントの真似でしょ。

            | 被害が防げるなんて思うのは傲慢そのものでしかないですよ。

            コメント一個だけ読んで脊髄反射してないで、根っこのコメントから読みなさい。
  • by Anonymous Coward on 2005年11月04日 22時38分 (#826040)
    たれこみ子です。余談というかおふとぴですが。

    昔CCNA関係の講義を大学で取った時、IOSをOperating Systemの略でなくOperating Softwareと教わったものでした。教材の記述だったんで、これがCisco的に正しい呼び方かなぁ、と思ってたんですが、元記事読む限り、Operating Systemなんですか。

    長いことCisco IOS触ってないのでAC

  • by Anonymous Coward on 2005年11月05日 2時31分 (#826169)
    どうして、ciscoとoracleは、サポート契約無しにダウンロードさせてくれないのだろうか。
    セキュリティーパッチくらいは無償で提供してもいいと思うのだが・・・。
    金も払わずにサポートすることなんか求めていないからさ。ほんと、ケチだよね。
    • by Anonymous Coward on 2005年11月05日 4時55分 (#826190)
      こう書いてあるけどだめなの?

      サービス契約をご利用でないお客様

      シスコから直接購入したがシスコのサービス契約をご利用いただいていない場合、また、サードパーティ ベンダーから購入したが修正済みソフトウェアを購入先から入手できない場合は、シスコの Technical Assistance Center(TAC)に連絡してアップグレードを入手してください。 TAC の連絡先は次のとおりです。

              * +1 800 553 2447(北米内からのフリー ダイヤル)
                   
              * +1 408 526 7209(北米以外からの有料通話)
                   
              * 電子メール:tac@cisco.com

      無料アップグレードの対象であることをご証明いただくために、製品のシリアル番号を用意し、このお知らせの URL を知らせてください。 サポート契約をご利用でないお客様に対する無料アップグレードは、TAC 経由でご要求いただく必要があります。 サービス契約をご利用でないお客様

      シスコから直接購入したがシスコのサービス契約をご利用いただいていない場合、また、サードパーティ ベンダーから購入したが修正済みソフトウェアを購入先から入手できない場合は、シスコの Technical Assistance Center(TAC)に連絡してアップグレードを入手してください。 TAC の連絡先は次のとおりです。

              * +1 800 553 2447(北米内からのフリー ダイヤル)
                   
              * +1 408 526 7209(北米以外からの有料通話)
                   
              * 電子メール:tac@cisco.com

      無料アップグレードの対象であることをご証明いただくために、製品のシリアル番号を用意し、このお知らせの URL を知らせてください。 サポート契約をご利用でないお客様に対する無料アップグレードは、TAC 経由でご要求いただく必要があります。

      親コメント
      • by Anonymous Coward on 2005年11月05日 13時51分 (#826309)
        こういう場合は、無理やり日本語でメールを送りつければいいのだろうか?
        下手な英語を使うより、日本語わかるヤツ出せの方が話が通じそうだし。

        そもそもシスコには日本法人があって、日本語による営業活動や有料サポートをしているのから、
        修正パッチの提供に関する受付くらい日本語で受付対応するか、
        英語での対応なら機械的に対応できるようにしとけっつうの。

        あ~、シスコに対してだんだん腹が立ってきた。
        親コメント
        • いやあ、ほんとに切実。
          CCNAのためと、速度が必要ない機器のために今週中古ルータ買ったんだけど、これ該当品でしょ?

          IOS (tm) C2600 Software (C2600-IO3-M),
          Version 12.3(6), RELEASE SOFTWARE (fc3)

          Ciscoの機器でしか使えないIOSを、なんで自由に配布してくれないのかなあ。
          面倒にして買い替えを促そうとしてるとしか思えんが、そうしたら
          次は他社の機器にしたくなるってなもんだよね。

          なんか気持ちが沈んできたよ。
          --
          〜◍
          親コメント
          • >Ciscoの機器でしか使えないIOSを、なんで自由に配布してくれないのかなあ。

            一応、IOSも売りもんだからじゃない。Ciscoの肩もつわけじゃないけど。メール送ればIOSのリリースアップはできるわけだし、そんなにひどくは無いと思うけどなぁ。

            それに数台程度ならまぁ許容範囲。CCNAの勉強にIOS入れ替えてみるのも悪くない。
            これが数百、数千台だとねぇ。まじ泣きしちゃうことになるかもしんない。
            親コメント
          • 切実かねぇ? 件のパッチ(当ててあるIOS)はCCNAの勉強に必要なものじゃないでしょう。

            IOSのバージョンアップを勉強したいってのなら話は別ですが。それともまさか、CCNAの勉強として不完全な設定のルータをインターネットに晒すおつもり...?

            余談ですが、AironetのIOSはVxWorksからのバージョンアップ用として公開されていましたね。今はわかりませんが。
            親コメント
    • by Anonymous Coward on 2005年11月05日 3時58分 (#826184)
      リコールとまではいかなくても,パッチくらい無償提供するべきだと思う.
      ユーザがこの脆弱性の為に損害を被ったら,PL法にかかりそうだけど.
      と思って,調べてみたところ,
      1. ハードウェアとソフトウェアのメーカーが同一であれば製造物責任法の対象になるが、
        ハードウェアとソフトウェアのメーカーが同一でなければ、ソフトウェアに欠陥があっても
        製造物責任法の対象にならないと考える説
      2. プレインストールされることによって製造物の一部になったとする説
          [ 企業のPL対策 / 岡本佳世 ほか ]

      が対立しているというのは分かったが,判例は見つからなかった.
      いずれにしても,この場合は適用できる可能性が高いと.

      #まあ,cisco製品買わないのが一番懸命なのかもしれない
      親コメント
    • by Anonymous Coward on 2005年11月05日 15時50分 (#826420)
      ExtremeとかJuniperのセキュリティーパッチはどうなんでしょう?
      市場規模が全然違うのですが 国産ベンダの修正ファイルのダウンロードの可否についてしらべてみました。
      ヤマハ [netvolante.jp]○
      アライド [allied-telesis.co.jp]○
      アラクサラ [alaxala.com]×→対策版ソフトウェアの入手につきましては、弊社担当営業へお問い合わせください
      古川電工 [furukawa.co.jp]△→ハイエンド、キャリアグレードの製品についてのサポート情報を発見できず。

      ciscoやOracleが有名すぎるだけで修正ファイルの提供が保守契約内なんてのはどこもかしこもやってるみたいですね。
      親コメント
  • by Anonymous Coward on 2005年11月06日 21時58分 (#827208)
    セキュリティホールが浜の真砂の如く尽きない感もあるCisco IOSですが…
typodupeerror

にわかな奴ほど語りたがる -- あるハッカー

読み込み中...